Jak nie dostać kary od PUODO?

10 maja 2022   /  Jacek Cieśliński  /  Artykuły

Czyli ciąg dalszy o tym czego uczą nas dotychczasowe decyzje organu. W tym wpisie opowiemy o art. 5 RODO i praktyce PUODO na jego podstawie. Przepis ten zajmuje bardzo wysokie miejsce w naszym rankingu kar, będąc w czołówce najczęściej naruszanych artykułów RODO.

Art. 5, czyli zasady RODO

Każdy, kto miał styczność z RODO – czy to zawodowo, czy hobbystycznie (tak, wiemy, że tam jesteście miłośnicy RODO, żaden wstyd, my też całkiem lubimy ten akt prawny 😊) – wie, że fundamentem, na którym zbudowana jest ochrona danych osobowych, jest art. 5, który zawiera katalog podstawowych zasad przetwarzania. Są to konkretnie: 

  • zasada legalności („dane osobowe muszą być przetwarzane zgodnie z prawem”);
  • zasada rzetelności („dane osobowe muszą być przetwarzane rzetelnie”);
  • zasada przejrzystości („dane osobowe muszą być przetwarzane w sposób przejrzysty dla osoby, której dane dotyczą”);
  • zasada ograniczenia celu („dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach”);
  • zasada minimalizacji („dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”);
  • zasada prawidłowości („dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane”)
  • zasada ograniczenia przechowywania („dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane”);
  • zasada integralności i poufności („dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo”);
  • zasada rozliczalności („administrator musi być w stanie wykazać przestrzeganie zasad”).

Powstaje pytanie:

Czy tak ogólne przepisy mogą być aż tak istotne?

„Zasady” kojarzą nam się z czymś generalnym, z natury nieprecyzyjnym. Zdawałoby się więc, że nie musimy się nimi przejmować w kontekście kar, prawda? W końcu sporo z nas intuicyjnie ma z tyłu głowy prawnokarną regułę nullum crimen sine lege certa, która nakazuje, aby przepisy przewidujące sankcje były na tyle precyzyjne, by zarówno dla organu, jak i adresata normy nie budziło wątpliwości czy określone zachowanie narusza prawo, czy nie. Innymi słowy — jeśli ustawodawca wprowadza sankcje, powinniśmy móc bez cienia wątpliwości wskazać: kto, kiedy i co ma albo czego nie ma czynić.  

Czytając art. 5 RODO, na pierwszy rzut oka przywołane zasady wydają się stanowić raczej zbiór luźnych postulatów, bardzo różniących się od innych przepisów posiadających jasny nakaz albo zakaz konkretnego działania. Nic bardziej mylnego.

Chcemy z całą mocą podkreślić, że zasady ogólne mają taki sam normatywny charakter, jak każdy inny przepis RODO i obowiązkiem administratora jest ich stosowanie – na każdym etapie przetwarzania danych osobowych.

A za naruszenie – kara?

Tak, i to ta wyższa, do 20 mln euro, a w przypadku przedsiębiorstwa – do 4 % całkowitego rocznego światowego obrotu.

„Żeby uniknąć kary, potrzeba trzech rzeczy: Informacji, informacji i informacji”.

Jeśli przepis jest tak ogólny, a przy tym zagrożony surową karą, bardzo ważna jest znajomość praktyki organu w jego stosowaniu. I tę wiedzę chcemy Wam dzisiaj przybliżyć. 

Brak procedur i umów powierzenia 

Jednym z powodów nałożenia kary w wysokości 40 tys. zł na burmistrza Aleksandrowa Kujawskiego było to, że nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane. W konsekwencji braku takiej umowy, burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył zasadę legalności (art. 5 ust. 1 lit. a RODO) oraz zasadę poufności (art. 5 ust. 1 lit. f RODO).

To jednak niejedyne naruszenia. W toku postępowania kontrolnego stwierdzono brak procedur wewnętrznych dotyczących przeglądu danych pod kątem ustalenia okresu ich przetwarzania. To spowodowało, że przykładowo w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat. W ocenie PUODO administrator naruszył więc zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO.

W czasie postępowania ustalono również, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczony e link do dedykowanego kanału na YouTube. Nie było kopii zapasowych tych nagrań. Przez to, w przypadku utraty danych zapisanych w serwisie YouTube, administrator nie dysponowałby tymi materiałami.  Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f RODO) oraz zasady rozliczalności (art. 5 ust. 2 RODO).

Zasada rozliczalności również została naruszona –  w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Treść decyzji.

Niewystarczające zabezpieczenia 

PUODO nałożył na spółkę Morele.net karę w wysokości ponad 2,8 mln zł, uznając, że zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Organ uznał m.in., że miało miejsce zastosowanie nieskutecznego środka uwierzytelniania dostępu do danych oraz zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci.

W decyzji nakładającej karę Prezes UODO uznał, że spółka – nie stosując wystarczających środków ochrony danych – naruszyła określoną w art. 5 ust. 1 lit f RODO zasadę poufności. Postępowanie wykazało także inne uchybienia, jednak to brak odpowiednich środków technicznych (niewystarczające zabezpieczenia) i organizacyjnych (dotyczących monitorowania potencjalnych zagrożeń, związanych z nietypowymi zachowaniami w sieci) przesądził o nałożeniu kary.

Treść decyzji.

Nie można utrudniać wycofania zgody 

PUODO nałożył karę na ClickQuickNow w wysokości ponad 201 tys. zł m.in. za utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych, a tym samym za naruszenie zasady legalności oraz zasady rzetelności (art. 5 ust 1 lit. a RODO).

Postępowanie PUODO wykazało, że stosowany przez spółkę mechanizm wycofania zgody, polegający na użyciu linku zamieszczonego w treści informacji handlowej, nie skutkował szybkim wycofaniem przyzwolenia. Po uruchomieniu linku komunikaty kierowane do osoby zainteresowanej wycofaniem zgody wprowadzały ją w błąd. Ponadto spółka wymuszała podanie przyczyny wycofania zgody, a brak jej wskazania skutkował przerwaniem całego procesu.

Treść decyzji.

Nie tylko PUODO jest surowy

Jedną z ciekawszych decyzji wydanych za naruszenie art. 5 RODO jest decyzja francuskiego organu (CNIL) wydana w sprawie Google LLC, m.in. za naruszenie zasady przejrzystości. W ocenie CNIL informacje dostarczane przez Google nie były łatwo dostępne dla użytkowników, a w części również nieprecyzyjnie sformułowane, przez co użytkownicy nie byli w stanie w pełni zrozumieć zakresu operacji przetwarzania przeprowadzanych przez Google. Google zaniechał również przekazania informacji o okresie przechowywania niektórych danych. Konsekwencja? Jedna z najwyższych kar dotychczas wymierzonych na podstawie RODO – w wysokości 50 mln euro.

Dziękujemy, że jesteś z nami i przeczytałeś do końca. Możliwe, że zainteresują Cię również pozostałe nasze wpisy z serii praktycznych wskazówek dla uniknięcia kar

Podziel się

Autor: Jacek Cieśliński

Podziel się

Potrzebujesz pomocy w tym temacie?

Napisz do naszego eksperta

Mateusz Borkiewicz

partner, adwokat

+48 663 683 888 Kontakt

Artykuły z tej kategorii

Kary dotyczące uwzględniania ochrony danych w fazie projektowania

Artykuły

Więcej
Kary dotyczące uwzględniania ochrony danych w fazie projektowania

Kary za brak zawiadomienia osoby, której dane dotyczą – o naruszeniu ochrony danych osobowych

Artykuły

Więcej
Kary za brak zawiadomienia osoby, której dane dotyczą – o naruszeniu ochrony danych osobowych

Kary za brak zgłoszenia naruszenia ochrony danych osobowych

Artykuły

Więcej
Kary za brak zgłoszenia naruszenia ochrony danych osobowych

Kary za przetwarzanie danych bez podstawy prawnej

Artykuły

Więcej
Kary za przetwarzanie danych bez podstawy prawnej

Kary za brak współpracy z Prezesem UODO

Artykuły

Więcej
Kary za brak współpracy z Prezesem UODO
Więcej

Kontakt

Leśniewski Borkiewicz & Partners S.K.A.
Podwale 83/11, 50-414 Wrocław

Hej, Userze
czy jesteś już w newsletterze?

Zobacz jak przetwarzamy Twoje dane osobowe tutaj